Beschreibung:
Wenn ein Access Point in einem öffentlich zugänglichen Bereich so montiert ist, dass er ohne Hilfsmittel erreicht werden kann, empfiehlt es sich durch die Konfiguration eines sicheren Netzwerkszenarios zu gewährleisten, dass ein Endgerät (z.B. ein Notebook) selbst dann keinen Zugriff auf ein Firmennetzwerk erhält, wenn es per Kabel an die Ethernet-Anschlussdose des Access Points angeschlossen wird.
Dieses Dokument beschreibt anhand eines Beispiels, wie Sie ein bereits vorhandenes Szenario mit einigen Anpassungen so konfigurieren können, dass ein nicht autorisiertes Endgerät keinen Zugriff auf das Firmennetzwerk erhält.


In diesem Szenario werden zwei WLC-Tunnel verwendet. Beachten Sie bezüglich der Verwendung von WLC-Tunneln bitte auch den Knowledge Base Artikel Mögliche Ursachen und Lösungsmöglichkeiten bei erhöhter CPU-Auslastung des WLAN-Controllers unter Verwendung von WLC-Tunneln.




Voraussetzungen:
  • LANCOM WLAN-Controller
  • LANCOM Access Point mit LCOS
  • Switch der GS-23xx Serie
  • LCOS ab Version 8.80 (download aktuelle Version)
  • LANtools ab Version 8.80 (download aktuelle Version)
  • Bereits konfiguriertes und funktionsfähiges WLAN
  • Bereits konfigurierter und funktionsfähiger Public Spot


Szenario:
  • In einem Hotel wird ein internes Management Netzwerk betrieben, welches von den Hotel-Mitarbeitern auch mit WLAN-Endgeräten genutzt werden kann.
  • Die Access Points sind per Ethernet mit einem zentralen Switch verbunden und werden von einem LANCOM WLAN-Controller verwaltet.
  • Auf den Access Points sind zwei SSIDs eingerichtet, damit Hotel-Gäste per Public Spot das WLAN des Hotels nutzen können.


Folgende Konfigurations-Anpassungen werden vorgenommen um sicherzustellen, dass ausschließlich der Access Point Zugang zum Firmennetzwerk erhält, wenn er an die Ethernet-Anschlussdose angeschlossen wird:

  • Am Switch-Port, an welchem der Access Point angeschlossen ist, wird eine Authentifizierung nach IEEE 802.1X durchgeführt.
  • Da im finalen Zustand der Konfiguration nur eine MAC-Adresse pro Switch-Port zugelassen ist, wird zwischen Access Point und WLAN Controller pro SSID ein WLC-Tunnel konfiguriert.







Vorgehensweise:
1. Konfigurationschritte auf dem LANCOM WLAN-Controller:
1.1. Öffnen Sie das Menü Konfiguration → RADIUS-Server → Allgemein und aktivieren Sie den RADIUS-Server des WLAN-Contollers, indem Sie den Authentifizierungs-Port 1.812 in das Feld eintragen.
1.2. Im Dialog Benutzerkonten muss anschließend jeweils ein Konto für jeden verwendeten Access Point angelegt werden, damit sich dieser über 802.1X am RADIUS-Server des WLAN-Controllers authentifizieren kann.
1.3. In diesem Beispiel wird als Benutzername ap1 und als Passwort ebenfalls ap1 verwendet. Bitte verwenden Sie im Live-Betrieb sichere Benutzernamen und Passwörter.
1.4. Klicken Sie im Menü Konfiguration → RADIUS-Server → Allgemein auf die Schaltfläche IPv4-Clients und fügen Sie den LANCOM-Switch als erlaubten RADIUS-Kommunikationspartner hinzu.
  • In diesem Beispel hat der LANCOM Switch die lokale IP-Adresse 192.168.1.200, die Netzmaske ist 255.255.255.255.
  • Als Protokoll muss der Wert RADIUS eingestellt werden.
  • Da sich der Switch als erlaubter RADIUS-Client am RADIUS-Server authentifizieren muss, müssen Sie ein Passwort vergeben (Shared Secret). Das hier vergebene Passwort wird bei der späteren Konfiguration des Switch benötigt.
1.5. Öffnen Sie das Menü Konfiguration  →  WLAN-Controller → Profile → Logische WLAN-Netzwerke (SSIDs) und legen Sie für die im Beispiel verwendeten SSIDs Hotel-Intern und Hotel-Gast die benötigten WLC-Tunnel an.
1.6. Die SSID Hotel-Intern wird mit dem WLC-Tunnel-1 verbunden.
Die SSID Hotel-Intern ist mit einer WPA2-Verschlüsselung und Passphrase gesichert.
1.7. Die SSID Hotel-Gast wird mit dem WLC-Tunnel-2 verbunden.
Die SSID Hotel-Gast wird ohne Verschlüsselung betrieben, da die Gäste sich über den Public Spot an diesem WLAN-Netzwerk anmelden sollen.
1.8. Damit die Public Spot Anmeldung funktioniert, muss diese im Menü Konfiguration → Public-Spot → Server → Interfaces auf dem WLC-Tunnel-2 eingeschaltet werden.



2. Konfigurationschritte auf dem LANCOM Access Point:
Damit sich der Access Point am Radius Server des WLAN Controllers anmelden kann, muss die Authentisierungs-Methode festgelegt und Benutzerdaten zur Anmeldung angegeben werden. In diesem Beispiel wird als Authentisierungs-Methode PEAP/MSCHAPv2 verwendet. Die Benutzerdaten des Access Point haben Sie im Schritt 1.3 im WLAN Controller konfiguriert.
2.1. Öffnen Sie eine Telnet- oder SSH-Sitzung auf dem Access Point und rufen Sie den Pfad Supplicant-Ifc-Setup auf:
cd /Setup/LAN/IEEE802.1x/Supplicant-Ifc-Setup
2.2. Rufen Sie den Pfad für die LAN-Schnittstelle auf. In diesem Beispiel wird die Schnittstelle LAN-1 verwendet.
cd LAN-1
2.3. Geben Sie mit folgendem Befehl die Benutzerdaten zur Authentifizierung am RADIUS-Server des WLAN Controllers an:
set credentials <Benutzername>:<Passwort>
In diesem Beispiel muss der Befehl lauten set credentials ap1:ap1
2.4. Setzen Sie mit folgendem Befehl die Authentisierungs-Methode auf den Wert PEAP/MSCHAPv2:
set Method PEAP/MSCHAPv2


Mit dem folgenden Skript können Sie die Änderungen alternativ per LANconfig in den Access Point laden. Ändern Sie vorher bitte die Werte für Benutzername und Passwort. 




3. Konfigurationschritte auf dem LANCOM Switch:
3.1 Öffnen Sie die Konfigurationsoberfläche des LANCOM Switch und wechseln Sie in das Menü Security → NAS → Configuration.
  • Stellen Sie die Option Mode auf Enabled.
  • In der Port Configuration müssen Sie für die Ports, auf welchen eine Authentifizierung nach 802.1X durchgeführt werden soll, die Option Single 802.1X einstellen.

Der Modus Single 802.1X kann nur verwendet werden, wenn sich nur der Access Point authentifiziert und der Datenverkehr der Endgeräte per WLC-Tunnel übertragen wird. Bei Verwendung von LAN am AP für eine SSID muss der Modus Port-based 802.1X verwendet werden.


3.2 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen.
3.3 Wechseln Sie in das Menü Security → AAA → Configuration. Im Bereich RADIUS Authentication Server Configuration aktivieren Sie in der ersten Zeile die Option Enabled.
  • Im Feld IP-Address/Hostname geben Sie die lokale IP-Adresse des LANCOM WLAN-Controllers ein.
  • Der Standard-Port 1.812 kann übernommen werden, da der WLAN Controller diesen ebenfalls als RADIUS-Authentifizierungsport verwendet.
  • Im Feld Secret müssen Sie das gleiche Shared Secret eingeben, welches Sie bei der Konfiguration des LANCOM WLAN Controllers im Schritt 1.4 verwendet haben.
3.4 Scrollen Sie an das Ende der Konfigurationsseite und klicken Sie auf Apply, um die geänderten Einstellungen zu übernehmen. 

3.5 Wechseln Sie in das Menü Maintenance → Save/Restore → Save Start und klicken auf Save, damit die Konfiguration als Start-Konfiguration gespeichert wird.

Die Start-Konfiguration wird bootpersistent gespeichert und steht dadurch auch nach einem Neustart oder einem Stromausfall zur Verfügung.

3.6 Die Konfiguration des LANCOM Switch ist damit abgeschlossen.